Top Banner
NetIQ Privileged Account Manager Zarządzanie kontami uprzywilejowanymi w systemach Linux, Unix, Windows i bazach danych Piotr Szewczuk Konsultant [email protected]
28

NetIQ Privileged Account Manager

Jan 11, 2017

Download

Documents

dinhbao
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: NetIQ Privileged Account Manager

NetIQ Privileged Account Manager

Zarządzanie kontami uprzywilejowanymi w systemach Linux, Unix, Windows i bazach danych

Piotr Szewczuk Konsultant [email protected]

Page 2: NetIQ Privileged Account Manager

Zintegrowane rozwiązania NetIQ do zarządzania tożsamością i dostępem

•  NetIQ Identity Manager Family •  NetIQ Access Review •  NetIQ Access Governance Suite •  NetIQ eDirectory™

•  NetIQ Directory and Resource Administrator™

•  NetIQ Group Policy Administrator™

Zarządzenie tożsamością

•  NetIQ Access Manager™ •  NetIQ Secure Login 8 - Enterprise

SSO •  Advanced Authentication

Framework •  NetIQ SocialAccess - Identify Web

Guests •  NetIQ MobileAccess •  NetIQ Cloud Security Service

Zarządzenie dostępem

•  SIEM NetIQ Sentinel™ / Sentinel™ Log Manager

•  NetIQ Sentinel Security Solutions for iSeries Agents

•  NetIQ Privileged Account Manager •  NetIQ Change Guardian™ for MS AD,

MS GPO, MS Windows and Linux Servers

•  Secure Configuration Manager

•  Security Solutions for iSeries

Zarządzenie bezpieczeństwem

Zautomatyzowane i bezpieczne przydzielanie dostępu dla użytkowników biznesowych i administratorów

Egzekwowanie w czasie rzeczywistym praw dostępu dla wszystkich punktów końcowych

Zapewnienie monitorowania, raportowania i przywracania dostępu do zasobów w całym przedsiębiorstwie

serwery fizyczne wirtualne chmura

Page 3: NetIQ Privileged Account Manager

CZYM JEST ZARZĄDZANIE TOŻSAMOŚCIĄ KONT UPRZYWILEJOWANYCH?

3

Page 4: NetIQ Privileged Account Manager

NERC CIP

Privacy Mandates HIPAA / HITECH

ISO 27001/2

SOX

Audits

European Data Protection Regulation

PCI DSS

Dlaczego trzeba inwestować w zarządzanie uprzywilejowaną tożsamością?

“Right to be forgotten”

GLBA

User demands

Governance

Page 5: NetIQ Privileged Account Manager

NERC CIP

Privacy Mandates HIPAA / HITECH

ISO 27001/2

SOX

Audits

European Data Protection Regulation

PCI DSS

Dlaczego trzeba inwestować w zarządzanie uprzywilejowaną tożsamością?

“Right to be forgotten”

GLBA

User demands

Governance Gartner Strategic Assumption By 2017, more stringent regulations around control of privileged access will lead to a rise of 40% in fines and penalties imposed by regulatory bodies on organizations with deficient PAM controls that have been breached.

- Market Guide for Privileged Access Management – May 27, 2015

Page 6: NetIQ Privileged Account Manager

Setting the stage

“Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet

“Cost of Target Data Breach Exceeds $200 Million”

– Consumer Banker’s Association

Neiman Marcus Sued Over Customer Credit Card Data Breach

- Bloomberg

“Target says up to 70 million more customers were hit by December data breach”– The Washington Post

“Health care data breaches have hit 30M patients and counting…” – The Washington Post

“Energy company reports $1 billion in charges and a loss” - New York Times

“Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek

Page 7: NetIQ Privileged Account Manager

Setting the stage

“Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet

“Cost of Target Data Breach Exceeds $200 Million”

– Consumer Banker’s Association

Neiman Marcus Sued Over Customer Credit Card Data Breach

- Bloomberg

“Target says up to 70 million more customers were hit by December data breach”– The Washington Post

“Health care data breaches have hit 30M patients and counting…” – The Washington Post

“Energy company reports $1 billion in charges and a loss” - New York Times

“Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek

Several high-profile breaches and insider attacks have been known to exploit privileged accounts, and this has increased the interest in tools to tighten controls on privileged activity, as well as interest in two-factor authentication for privileged access. While in 2013 the majority of inquiries about PAM tools from Gartner clients were driven by compliance concerns and operational efficiency, a large part is now driven by the desire to mitigate threats of breaches and insider attacks. Gartner expects this trend to continue at least until 2016.

- Market Guide for Privileged Access Management – May 27, 2015

Page 8: NetIQ Privileged Account Manager

Zarządzanie uprzywilejowaną tożsamością

•  Z jakimi wyzwaniami spotykają się klienci?

‒  Jak monitorować nadużycia uprzywilejowanego dostępu do danych?

‒  Jak administratorzy działów IT wykorzystują uprawnienia kont root lub administrator w systemach Unix, Linux i Windows?

‒ Za dużo osób ma pełne prawa do usług katalogowych np. domeny Active Directory lub eDirectory

‒  Jak monitorować aktywność użytkowników w krytycznych systemach i wykrywać podejrzane zachowania?

Page 9: NetIQ Privileged Account Manager

KONTA UPRZYWILEJOWANE

9

Page 10: NetIQ Privileged Account Manager

Tożsamość uprzywilejowana

Tożsamość uprzywilejowana to konta, które pozwalają na: ‒  Dostęp do plików, w tym systemowych ‒  Instalacje i uruchamiane programów ‒  Zmianę konfiguracji i ustawień

systemowych •  Tworzenie / modyfikacje kont

użytkowników lub ich profili Wiele kont w systemach typu „konto usługowe”

Użytkownicy, którym z racji stażu lub funkcji zostały przydzielone uprawnienia znacznie większe niż w przypadku większości użytkowników

Page 11: NetIQ Privileged Account Manager

Konto uprzywilejowane

Page 12: NetIQ Privileged Account Manager

Proces uzyskania uprzywilejowanych uprawnień

12

Page 13: NetIQ Privileged Account Manager

NETIQ PRIVILEGED ACCOUNT MANAGER

13

Page 14: NetIQ Privileged Account Manager

Czym jest NetIQ PAM

•  Centralne narzędzie do kontrolowanego udostępniania i monitorowania kont uprzywilejowanych

•  Umożliwia nagrywanie sesji, tworzenie reguł, określanie, jakie polecenia można uruchamiać

•  Zarządzanie poprzez reguły i audyt działań

•  Kontrola ryzyka

•  Elementy składowe NetIQ PAM: Framework Manager, Framework Console, Framework Agent, Enterprise Credential Vault

•  Obsługa następujących systemów operacyjnych: Unix, Linux i Windows, baz danych i aplikacji

•  W Linuksie PAM (Pluggable Authentication Modules) to nie to samo co NetIQ PAM (Privileged User Manager)

Page 15: NetIQ Privileged Account Manager

Magazyn danych uwierzytelniających Enterprise Credential Vault

•  Bezpieczny zaszyfrowany „sejf” do przechowywania poświadczeń (login i hasło), kluczy itp.

•  Zamawianie danych uwierzytelniających dla niestandardowych przedziałów czasu

•  Gotowe „tuż po instalacji” przepływy akceptacyjne i powiadomienia

•  Obsługa uprzywilejowanych uprawnień: –  Aplikacji (np. SAP System)

–  Baz danych (np. Oracle DBMS)

–  Usług typu Cloud (np. Salesforce.com)

Page 16: NetIQ Privileged Account Manager

16

Modularna architektura

Page 17: NetIQ Privileged Account Manager

Przepływ informacji w NetIQ PAM

17

Page 18: NetIQ Privileged Account Manager

Monitorowanie baz danych Oracle

•  NetIQ PAM został przetestowany do współpracy z bazami danych Oracle 11.x i Oracle 12.x

•  Wspierani klienci: SQL Developer, SQL Plus, DbVisualizer i Toad

Page 19: NetIQ Privileged Account Manager

Monitorowanie baz danych Oracle

19

Page 20: NetIQ Privileged Account Manager

Portal Użytkownika

•  Widok katalogu z autoryzowanymi kontami uprzywilejowanymi •  Zarządzanie swoimi żądaniami i potwierdzeniami

Page 21: NetIQ Privileged Account Manager

Panel administracyjny

•  Zarządzanie żądaniami dostępu i autoryzacji •  Kontrola wymagań dostępu, czasu ich trwania i rodzaju •  Odnajdywanie: kto miał dostęp, gdzie, kiedy i dlaczego

Page 22: NetIQ Privileged Account Manager

Dostęp „na żądanie”

Zapewnia bezpieczny dostęp do zarządzania systemem w sytuacji „losowej”

Page 23: NetIQ Privileged Account Manager

Szybkie wdrażanie

•  Duży katalog szablonów, zasad i skryptów •  Centralny katalog zasad, brak konieczności

modyfikacji podłączonych systemów •  Umożliwia szybkie wdrożenie nowych zasad

i powrót do stanu przed ich wdrożeniem

Page 24: NetIQ Privileged Account Manager

Współpraca NetIQ IDM z NetIQ Privileged Account Manager

Sterownik, który pozwala na szybki przydział zasobów

Automatyzacja przypisywania profili w PAM

Dostarcza przepływy pracy do kontroli, kto ma dostęp, do czego i kiedy dostęp został przyznany

Zarządzanie hasłami i ich synchronizacja pomiędzy systemami

Wspólny interfejs dla żądań dostępu, zatwierdzeń i zarządzania przepływem pracy

Page 25: NetIQ Privileged Account Manager

Konkurencja - CyberArk

S.NO Features CyberArk NetIQ PAM 1. Digital Vault 2. Shared policy management 3. Complete solution for

1.  Operating Systems 2.  Network Devices 3.  Databases 4.  Applications

4. Integration with IDM Partner with IDM vendors

NetIQ IDM

5. Integration with SIEM tool Partner with SIEM Vendors

NetIQ Sentinel

6. Emergency Access 7. Multifactor Authentication Partners NetIQ NAAF 8 Searchable Windows

session logs, recording

Page 26: NetIQ Privileged Account Manager

Konkurencja - Dell

S.NO Features Dell NetIQ PAM 1. Privilege Password Safe 2. Privileged Elevation in

Windows and Unix

Partial 3. Privileged Session

Management 4. Privileged Session

Recording 5. Shared policy management

Page 27: NetIQ Privileged Account Manager

Wdrożenie NetIQ PAM - wymagania

•  Konsola administracyjna wymaga przeglądarki internetowej z obsługą Adobe Flash

•  Otwarte porty sieciowe: 443 (manager) i 29120 (agenci i manager)

•  Serwer musi być „widoczny” dla klientów (DNS/hosts)

•  Czas musi być zsynchronizowany (ntp)

Page 28: NetIQ Privileged Account Manager